[发明专利]基于多尺度主成分分析的网络异常检测方法

权利要求书

1.一种基于多尺度主成分分析的网络异常检测方法，其特征是：利用流量矩阵的时空相关性，结合小波变换的多尺度建模能力和主成分分析的降维能力，对流量矩阵中的正常流量进行建模，然后对残余流量进行分析，从而实现网络的异常检测。

2.根据权利要求1所述的基于多尺度主成分分析的网络异常检测方法，其特征是：对流量矩阵中的正常流量进行建模的方法含有以下步骤：

第1步：流量矩阵的小波分解：首先采用标准正交小波变换对流量矩阵(X)进行多尺度分解，获得各个尺度的小波系数矩阵(Z_L，Y_m(m＝1，...，L))，然后采用中位绝对偏差方法对各个尺度的小波系数矩阵(z_L，Y_m(m＝1，...，L))进行过滤，获得过滤后的各个尺度的小波系数矩阵((m＝1，...，L))；

第2步：小波系数矩阵的主成分分析和重构：首先对过滤后的各个尺度的小波系数矩阵((m＝1，...，L))进行主成分分析；然后根据碎石图方法选择PC的数目；最后重构出各个尺度的重构小波系数矩阵((m＝1，...，L))；

第3步：流量矩阵的小波重构：根据各个尺度的重构小波系数矩阵((m＝1，...，L))，采用小波逆变换重构出第一重构流量矩阵；

第4步：流量矩阵的主成分分析和重构：首先对第一重构流量矩阵进行主成分分析；然后根据碎石图方法选择PC的数目；最后重构出第二重构流量矩阵

3.根据权利要求2所述的基于多尺度主成分分析的网络异常检测方法，其特征是：对流量矩阵(X)中的正常流量进行建模后，残余流量主要由两部分组成：噪声流量和突发流量，其中，噪声流量主要是由正常流量的模型的误差引起的，而突发流量主要是由各种异常行为引起的；所述残余流量分析采用两种控制图方法来实现，两种控制图方法为Shewart控制图方法和EWMA控制图方法；Shewart控制图方法可快速检测出流量的急剧变化，而在检测缓慢变化的异常流量时速度较慢；在选择合适的参数后，EWMA控制图方法可检测变化缓慢但持续时间较长的异常流量。

4.根据权利要求3所述的基于多尺度主成分分析的网络异常检测方法，其特征是：所述Shewart控制图方法直接对平方预测误差的时间序列进行检测，平方预测误差记作Qi，Qi的计算公式为：

Qi=Σj=1p(xij-x^ij)2]]>

其中，x_ij为流量矩阵(X)中第i行第j列的元素值，

为第二重构流量矩阵中第i行第j列的元素值，

p为第二重构流量矩阵的维数；

采用Q统计量作为平方预测误差的阈值，Q统计量记作定义如下：

δα2=φ1[cα2φ2h02φ1+1+φ2h0(h0-1)φ12]1h0]]>

其中，k＝1，2，3，λ_L为将第二重构流量矩阵投影到第L个主轴所捕获的方差，即第L个特征值，k为λ_L的次方数，c_α是标准正态分布中的1-α分位数，r为第二重构流量矩阵的固有维数，p为第二重构流量矩阵的维数；如果则认为出现网络异常。